Ghid de bune practici pentrucreșe/grădinițe/școli

Protecția datelor cu caracter personal- GDPR -

GDPR reprezintă regulamentul general privind protecția datelor cu caracter personal. Este o lege a Parlamentului European care va înlocui Legea privind protecția datelor (DPA) introdusă în 1998.

Ambele legi se referă la modul în care organizațiile pot deține și procesa datele personale ale unei persoane fizice însă GDPR este adaptată la era digitală.

Ce este GDPR?

De ce regulamentul privind protecția datelor este în schimbare?

În ultimii ani tehnologia a evoluat exponențial, existând în prezent date cu caracter personal care sunt prelucrate prin intermediul mai multor surse astfel încât avem nevoie de mai multe reglementări stricte pentru a proteja informațiile personale.

GDPR combină legislația din întreaga UE pentru a forma un singur regulament care protejează datele cu caracter personal ale tuturor persoanelor fizice din Europa. GDPR se focusează asupra drepturilor consumatorilor și pune pe primul loc nevoile acestora.

Când intră în vigoare?GDPR a fost aprobat de către Parlamentul European în 2016 și intră în vigoare la 25 mai 2018.

Sunt sub incidența acestei legi,mi se aplică și mie? Se aplică oricărei persoane fizice sau juridice care colectează sau prelucrează datele cu caracter personal ale cetățenilor UE. Deci, această lege se va aplica și creșei/grădiniței/școlii pe care o administrezi.

Ce se întâmplă dacă nu mă conformez?Dacă nu veți respecta GDPR, puteți primi o amendă de pînă la 20 milioane de euro sau 4% din cifra de afaceri anuală. Dacă sună destul de înfricoșător, atunci ar trebui să ne gândim că nu e de glumă.

Totuși dacă începeți de pe acum să găsiți soluțiile potrivite și să le implementați corespunzător pentru a vă asigura că sunteți gata pentru această schimbare, atunci este puțin probabil ca afacerea (creșa/grădinița/școala) pe care o administrați să primească astfel de sancțiuni.

Cum vor afecta aceste schimbări grădinița mea?Este posibil să trebuiască sau nu, să faceți modificări în procesele

dumneavoastră curente; dar cu siguranță veți avea nevoie să înțelegeți responsabilitățile asupra datelor pe care le dețineți, legate de copii, părinți și personalul instituției.

Din păcate, GDPR nu este un set de reguli pe care le puteți bifa pentru a dovedi că sunteți în legalitate. Trebuie să demonstrați că aplicați măsurile corespunzătoare pentru a proteja toate datele aflate în posesia dumneavoastră.

Vă recomandăm să numiți un responsabil pentru protecția datelor Deși nu este esențial, este o idee foarte bună de a pune pe cineva responsabil de revizuirea politicilor și procedurilor în conformitate

cu protecția datelor, care să se ocupe de înțelegerea normelor și să se asigure că sunt implementate corect.

Responsabilul cu protecția datelor, e recomandat să fie cineva care nu are puterea de a lua decizii în cadrul afacerii dumneavoastră, dar care va avea tot sprijinul managerilor și proprietarilor (de exemplu un avocat).

Informare și conștientizare Gândiți-vă că cineva din instituția dumneavoastră ar putea avea acces la informații cu caracter personal și asigurați-vă că aceste persoane sunt conștiente de faptul că regulile se vor schimba constant.

Limitarea numărului de oameni care pot accesa aceste date va reduce procentajul de risc iar pentru dumneavoastră va fi mult mai ușor să vă asigurați că politicile și procedurile sunt aplicate corect.

Dacă există date la care toți membrii personalului au acces, gândiți-vă cât de necesar este acest lucru? Puteți să eliminați anumite informații de identificare personală și să lăsați numai ceea ce este absolut necesar pentru a reduce și mai mult riscul expunerii.

De exemplu, în cazul în care toată lumea are acces la informații legate de datele de contact (email/telefon/adresă), care parte din aceste date este absolut necesară? Pentru personal este de interes numele persoanelor și poate numărul de contact (în caz de urgență) dar nu este de interes și adresa de email sau adresa de facturare a părinților.

Limitând accesul la toate aceste date va scădea și riscul unei scurgeri de informații. Aceste lucruri sunt foarte ușor de controlat într-un sistem electronic spre deosebire de stocarea lor pe hârtie sau pe un server intern care ar putea fi ușor accesat.

Prelucrarea datelor este legalăGDPR afirmă că datele cu caracter personal trebuie prelucrate în mod echitabil, transparent și legal iar datele trebuie colectate cu scopuri determinate, explicite și legitime.

Multe organizații se concentrează pe necesitatea consimțământului de a prelucra date. Consimțământul reprezintă o parte importantă a GDPR, însă dumneavoastră ca și administrator de instituție aveți și alte obligații legale care necesită colectarea, procesarea și stocarea datelor cu caracter personal.

Pentru a fi conformi cu legile sau regulamentele țării în care activați, există o cantitate mare de date pe care le dețineți și pe care trebuie să le păstrați (Ex: Fișa de evaluare a dezvoltării copiilor pe care unii aleg sa o păstreze minim 5 ani). Aceste obligații legale sunt mai importante decât GDPR însă acestea nu necesită consimțământul părinților sau copiilor pentru a le colecta.

Consimțământ

Copiii nu își pot da consimțământul pentru propriile lor date până nu împlinesc vârsta de 16 ani. Prin urmare, ca o entitate care are ca obiect

de activitate îngrijirea și educarea copiilor, trebuie să obțineți acest consimțământ din partea părinților. “Consimțământul explicit” se referă la faptul că părinții precum și personalul instituției (angajații) trebuie să completeze anumite formulare și să își dea acordul asupra prelucrării datelor cu caracter personal. Este posibil să mai fi întâlnit companii care în trecut vă înscriau automat la un newsletter dacă bifați o căsuță sau presupuneau că v-ați dat acceptul dacă raspundeați la un mail. Acest lucru nu va mai fi acceptat după data de 25 mai 2018.

În cazul creșelor/grădinițelor/școlilor, cele mai bune variante de a obține consimțământul sunt prin completarea de către părinți a unor formulare pe care se bifează o căsuțăși se semnează în dreptul numelui.

Noile reglementări presupun o notificare/informare despre confidențialitatea datelor foarte concisă, transparentă, inteligibilă și ușor accesibilă. Trebuie să fie foarte clar pentru cei ce urmează să își dea consimțământul, ce date veți culege, cum le veți folosi și cine va avea acces la ele.

Dacă aveți deja acordul părinților din grădinița dumneavoastră pentru a fi contactați, nu mai este necesar să le cereți consimțământul încă o dată. Cu toate acestea, o nouă cerere este o practică bună de a actualiza formularele de acord procesare date cu caracter personal și de a le aduce părinților la cunoștință noile schimbări vizate de GDPR.

Dacă nu utilizați deja formulare de înregistrare pentru părinții noi, atunci ați putea folosi un astfel de formular, în care să includeți și informații despre confidențialitatea datelor și un loc pentru semnătură.

Declarația model poate fi trimisă în format PDF pe e-mail sau poate fi discutată la ședința cu părinții (furnizarea acestuia

trebuie să aibă loc înainte de luna mai 2018)

De asemenea, trebuie să păstrați o evidențăa acestor acorduri în cazul unui audit

Formular de obținere a acordului de la părinți

Dragi Părinți, Grădinița noastră tratează cu seriozitate informațiile confidențiale, în acest sens vă informăm că vă vom folosi datele personale exclusiv pentru a vă gestiona contul și a oferi informații personalizate despre copilul dumneavoastră. Începând de anul acesta, grădinița noastră va folosi Kinderpedia, o platformă online privată și securizată, creată special pentru educația preșcolară, unde educatorii și părinții pot interacționa, colabora, transmite și folosi resurse educaționale complementare procesului educativ din cadrul grădiniței. În acest mediu privat de comunicare, gestionat de către administratorul grădiniței și de către educatori, părinții pot interacționa cu grădinița și cu alți părinți din grupa copiilor lor. Kinderpedia oferă o soluție sigură și eficientă ce încurajează dialogul între părinți și educatori și învățarea în afara clasei, contribuind astfel la dezvoltarea armonioasă a celor mici și ajutându-i să își atingă potențialul maxim.

Din când în când vom avea nevoie să vă contactăm telefonic, pe e-mail sau prin intermediul aplicației Kinderpedia. Singurele informații solicitate părinților pentru activarea unui cont în cadrul platformei Kinderpedia sunt numele, un nume de utilizator, adică o adresă validă de e-mail și o parolă.Cea mai ușoară formă de înregistrare și activare a unui cont în cadrul platformei este acceptarea invitației electronice transmise de către directorul grădiniței sau de către educator.În acest caz, tot ce au de făcut părinții este să își stabilească o parolă sigură și secretă.

La momentul înregistrării, părinții trebuie să citească și să accepte Politica de Confidențialitate a Kinderpedia: http://www.kinderpedia.co/privacy-policy. Kinderpedia tratează cu seriozitate și responsabilitate securitatea și confidențialitatea datelor. De aceea, informațiile cu caracter personal sunt stocate separat pentru fiecare tip de utilizator iar informațiile din contul unui copil pot fi accesate doar de către părinți și educatorii acestuia. Fișierele pot fi distribuite individual sau către grupuri presetate, cum ar fi părinții copiilor din cadrul unei grupe sau educatorii uneia sau mai multor grupe.

Datele pot fi accesate doar de către personalul autorizat și pentru a consolida securitatea datelor stocate, KINDERPEDIA este găzduită pe Amazon Web Services care oferă o capacitate de scalare a web serverelor în cloud, folosind Amazon EC2, Amazon RDS, Elastic Load Balancing și multe alte tehnologii și protocoale de securitate. Întrucât Kinderpedia evoluează permanent, pentru a răspunde nevoilor utilizatorilor săi prin adăugarea de noi funcționalități sau îmbunătățirea celor existențe. Termenii și condițiile de utilizare, cât și Politica de Confidențialitate se pot schimba în timp. Veți primi notificări de fiecare dată când acestea suferă modificări ce necesită acordul tău.

Sperăm că veți profita de facilitățile pe care Kinderpedia le oferă pentru a înlesni dialogul cu grădiniță noastră și cu educatorii, în beneficiul copiilor. Puteți afla mai multe despre Kinderpedia accesând www.kinderpedia.co

.........................................................................................................................................................................

Prin prezenta, declar că am citit și am înțeles declarația de mai sus și îmi ofer acordul că datele referitoare la profilul și activitatea copilului meu să fie înregistrate de către personalul didactic în platforma Kinderpedia.

Numele copilului: ______________________________________________________________________________________________

Numele complet al părintelui: _________________________________________________________________________________

Semnătura părintelui: ________________________________ Data: ___________________________________________________

.................................................................. ..................................................................

MODEL

Descarcă PDF

2Dreptul la opoziție

Părinții și personalul se pot opune utilizării datelor lor în vederea activităților de marketing sau de cercetare. Obiecția trebuie să se refere la o situație specifică, un caz concret (ex: primirea unui newsletter chiar dacă se presupune că a optat să nu primească acest tip de informare).

În cazul în care apare o obiecție, dumneavoastră trebuie să demonstrați legitimitatea procesului de prelucrare a datelor și modul în care s-a respectat sau nu opțiunea persoanei care face obiecția.

Drepturile persoanelor fizice GDPR garantează 8 drepturi pentru persoanele fizice. În orice moment un părinte poate face o cerere cu privire la datele pe care le dețineți despre el sau despre copilul său, în baza căreia trebuie să furnizați un răspuns (în termen de maxim o lună).

Această cerere poate fi refuzată, dacă cumva există obligația legală de a păstra anumite date pe o perioadă de timp definită de legea țării în care operați (ex: Fișa de evaluare a dezvoltării copiilului dacă trebuie arhivată și păstrată minim 5 ani) dar va trebui să informați persoana respectivă cu privire la motivele respingerii. Trebuie să fiți conștienți de faptul că aceasta poate depune o plângere către autoritatea de supraveghere.

Este puțin probabil să vă confruntați cu cereri de acest gen, însă este foarte important să înțelegeți aceste drepturi ale persoanelor fizice și cum să răspundeți corect și transparent la ele, dacă va fi nevoie.

1 Dreptul de a fi informat

Acest lucru este acoperit în formularul de obținere a acordului de confidențialitate și de prelucrare a datelor de la părinți (model prezentat mai sus).

Părinții dar și personalul instituției trebuie să fie informați cu privire la datele colectate, modul în care acestea vor fi stocate și folosite dar și cine va avea acces la ele.

3 Dreptul de acces

Părinții și personalul pot solicita accesul la propriile date în orice moment. Dacă se solicită, trebuie să fiți în măsură să furnizați toate informațiile pe care le dețineți despre aceștia. Ei pot verifica dacă datele cu caracter personal sunt procesate în mod legal de instituția dumneavoastră – ceea ce înseamnă că trebuie să fiți în măsură să jutificați necesitatea tuturor informațiilor colectate și reținute.

De exemplu, ca și grădiniță trebuie să știți numele, adresa și poate chiar detaliile bancare ale părinților, însă nu este necesar să înregistrați culoarea sau marca mașinii sau echipa de fotbal preferată. Acest lucru ar putea fi considerat inadecvat și ilegal.

4 Dreptul la rectificare

Datele cu caracter personal trebuie să fie rectificate în cazul în care sunt incorecte sau incomplete. Platforma Kinderpedia le permite părinților să-și actualizeze propriile informații, direct din contul lor, acest proces simplificând munca depusă de responsabilul instituției și oferă un plus de profesionalism pentru creșa/grădinița/școala pe care o administrați.

5Dreptul la ștergere

Persoanele fizice pot solicita ștergerea datelor în cazul în care nu există niciun motiv pentru care aceste date să mai fie deținute de instituția dumneavoastră sau nu mai există nici o relație între persoana fizică și creșa/grădinița/școala pe care o conduceți.

Într-o insitituție de învățământ, în funcție de legile țării în care operează instituția, există anumite reguli cu privire la cât timp ar trebui să fie păstrate anumite date. Aceste recomandări cât și reglementările legale vă oferă posibilitatea de a păstra aceste date, dar arhivarea trebuie făcută și gestionată pe perioada intervalelor de timp prevăzut în lege.

Stocarea acestor date într-un sistem digital precum Kinderpedia vă va permite să controlați mai ușor aceste procese, instituția dumneavoastă va da dovadă de transparență și va permite părinților să solicite ștergerea datelor cu caracter personal atunci când aleg această opțiune, printr-un simplu click în platformă.

6 Dreptul de a restricționa procesarea datelor și primirea de informații nesolicitate

Părinții și personalul instituției se pot opune prelucrării datelor lor. Acest lucru înseamnă că datele lor pot fi stocate, dar nu pot fi utilizate în niciun fel. În cazul în care se solicită acest lucru, informațiile acestor persoane nu pot fi folosite în rapoarte sau alte tipuri de comunicări (ex: trimiterea de notificări, e-mailuri de informare sau newslettere).

Platforma Kinderpedia vine în întâmpinarea acestei reglementări și dă posibilitatea utilizatorului sa opteze pentru ce fel de informații dorește să primească. Notificările pot fi activate/dezactivate individual pentru fiecare modul în parte.

Ce se întâmplă dacă există o breșă de securitate?

Trebuie să dispuneți de proceduri speciale în cazul unei breșe de securitate sau de o procedură de recuperare în cazul în care datele sunt pierdute (un avocat vă poate sfătui mai bine).

Trebuie să raportați situația către autoritatea de control din țara dumneavoastră în termen de 72 ore de la incident, dacă acest lucru poate aduce atingeri cu privire la discriminarea persoanelor, deteriorarea reputației, pierderi financiare sau pierderea confidențialității.

Trebuie să informați persoanele ale căror drepturi au fost încălcate sau ale căror date au avut de suferit. În cazul în care autoritatea de control va dori să investigheze o situație de încălcare a legii, dumneavoastră trebuie să demonstrați modul în care a fost investigată problema, ce măsuri ați luat cu privire la aceasta, cum ați ajustat politicile și procedurile de securitate pentru a vă asigura ca nu se va mai întâmpla din nou. Regulamentul GDPR poate suna înfricoșător, dar schimbările din legislația actuală nu sunt chiar atât de mari. Într-o eră digitală, un pas important este acela de a ne proteja datele cu ajutorul tehnologiei. Cel mai important lucru de reținut este faptul că datele colectate vor fi folosite numai în scopurile menționate.

7 Dreptul de portabilitate a datelor

Datele trebuie să fie ușor de portat de la sistem digital la altul dacă este absolut necesar sau acest lucru este solicitat de reprezentanții instituției. Platforma Kinderpedia vă permite să exportați datele sub formă de fișiere csv/xls/pdf, lucru care simplifică portabilitatea și raportarea, contribuind semnificativ la optimizarea timpului alocat acestui demers.

8Dreptul de a nu fi supus procesului decizional automat

Procesele de automatizare și profilarea sunt în principal relevante doar în cazul companiilor cu profil de marketing (ex: call-center) și este foarte puțin probabil să existe instituții de învățământ care să folosească datele în astfel de scopuri, dar e bine să știți că acest proces este posibil doar cu acordul explicit dat de părinte sau un membru al personalului.

46-48 Calea Plevnei, C Building, 2nd Floor, 010233, Bucharest, Romania

+40 744 355 351

hello@kinderpedia.co

www.kinderpedia.co